Показано с 1 по 20 из 20.

Вирус мгновенно изменяет антивирусные и т.п. exe-файлы (заявка № 85301)

  1. #1
    Junior Member Репутация
    Регистрация
    13.08.2010
    Сообщений
    14
    Вес репутации
    50

    Thumbs up Вирус мгновенно изменяет антивирусные и т.п. exe-файлы

    Предистория: запущен exe-файл с вирусом. Через нек. время комп сам перегрузился, блокирована сеть. Сеть восстановлена отключением в службах msconfig "Remote Packet capture protocol V0 (experimental)" - вроде в нем проблема была (?).

    Сейчас вирус "мониторит" все диски и мгновенно изменяет все антивирусные exe-файлы, в т.ч. фаервол - outpost.exe, так, что при запуске пояляется сообщение вида "C:\..\...exe не является приложением Win32". Время изменения всех exe антивирусных файлов - текущее системное. Остальные (не антивирусные) программы работают нормально.
    Невозможно даже заменить отдельные файлы (outpost.exe, ...) или запустить AVZ (т.к. файлы мгновенно изменяются), скачать HiJackThis - при скачке exe-файла браузер сразу же "вылетает".
    Также идет постоянный обмен пакетами по сети при отключенном браузере.

    При запуске в дисп. задач немного висят подозрительные

    winupgro.exe
    agent.exe
    is-JP6A8.tmp

    и потом исчезают.

    Помогите решить проблему.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    - попробуйте сделать логи таким AVZ

  4. #3
    Junior Member Репутация
    Регистрация
    13.08.2010
    Сообщений
    14
    Вес репутации
    50
    Апдейт:
    Был запущен файл serial.exe с вирусом, вот его скан:

    http://www.virustotal.com/file-scan/...2ab-1277561482

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Пользуйтесь исключительно легальным ПО.
    - Пролечитесь с LiveCD от файловых вирусов.

  6. #5
    Junior Member Репутация
    Регистрация
    13.08.2010
    Сообщений
    14
    Вес репутации
    50
    Файл mink.pif не запускается (ничего не происходит).
    Последний раз редактировалось Egorrr; 13.08.2010 в 13:06.

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    - Пролечитесь с LiveCD от файловых вирусов.
    выполняйте вот эту рекомендацию

  8. #7
    Junior Member Репутация
    Регистрация
    13.08.2010
    Сообщений
    14
    Вес репутации
    50
    ОК, сейчас запущу LiveCD с диска

    Добавлено через 4 часа 10 минут

    Вручную удалил с помощью коммандера в LiveCD следующие файлы (были отмечены как подозрительные при сканировании OSAM):

    C:\Windows\system32\srnh.lto
    C:\WINDOWS\system32\wfsintwq.sys
    C:\Documents and Settings\Egor\Application Data\drivers\winupgro.exe
    C:\Documents and Settings\Egor\Application Data\m\flec006.exe

    В последней строке удалил всю папку "m" (в ней все файлы изменены в момент заражения). В результате сейчас при загрузке windows в любом режиме комп уходит в перезагрузку. Как мне запустить сейчас виндовз?
    Сканер c LiveCD после удаления указанных файлов ничего больше не нашел.
    Также появилаь папка c:\Program Files\e с кучей якобы zip-архивов программ - результат работы вируса
    Последний раз редактировалось Egorrr; 13.08.2010 в 17:34. Причина: Добавлено

  9. #8
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Это месть Bagle.

    Цитата Сообщение от Egorrr Посмотреть сообщение
    В результате сейчас при загрузке windows в любом режиме комп уходит в перезагрузку.
    html-лог работы утилиты OSAM заархивируйте и прикрепите к своему сообщению
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  10. #9
    Junior Member Репутация
    Регистрация
    13.08.2010
    Сообщений
    14
    Вес репутации
    50
    Сейчас виндовс вылетает с бсод CONFIG_LIST_FAILED 0x00000073
    (0x00000001, 0xC000017D, 0x00000002, 0xF7374BB8 )
    Лог-файл заархивировать нет возможности, вот ссылка на скачку html-файла:
    http://slil.ru/29560243

    Или вложение - необходимо изменить расширение на html (это не архив, а html файл!)

    Дак есть идея как виндовз реанимировать? Восстановить удаленные файлы?
    Она с 2006 года стоит... =)

    Никаких идей по восстановлению нет?..
    Последний раз редактировалось AndreyKa; 15.08.2010 в 12:21.

  11. #10
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Попробуйте с помощью LiveCD забраться в реестр и в ветке
    Код:
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    удалите ключи запуска
    Код:
    "DAEMON Tools Lite"	"Info soft"	"H:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
    "drvsyskit"	"Info soft"	C:\Documents and Settings\Egor\Application Data\drivers\winupgro.exe
    "mule_st_key"		C:\Documents and Settings\Egor\Application Data\m\flec006.exe
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  12. #11
    Junior Member Репутация
    Регистрация
    13.08.2010
    Сообщений
    14
    Вес репутации
    50
    Как это сделать (открыть "regedit") в LiveCD? Что нужно запустить?
    Также хотелось бы запустить программу типа chkdsk для проверки C:\

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Архив битый. Логов нет. Переставляйте ОС, быстрее будет дело.

  14. #13
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    1. Скачайте образ ERD Commander, запишите на болванку и загрузитесь с созданного диска
    2. Пуск - Выполнить - erdregedit
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  15. #14
    Junior Member Репутация
    Регистрация
    13.08.2010
    Сообщений
    14
    Вес репутации
    50
    Rene-gad, это не архив, а html-файл, переименованный в zip

    thyrex, как я буду писать образ, если у меня из доступных програм щас LiveCD с фаерфоксом, откуда и пишу? =)
    Если только готовое взять.

  16. #15
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Тогда проще будет воспользоваться советом Rene-gad
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  17. #16
    Junior Member Репутация
    Регистрация
    13.08.2010
    Сообщений
    14
    Вес репутации
    50
    Проще восстановить систему, которой 4 года и на ней огромная куча всего

    Chkdsk нашел файл реестра "...config\software.log" (был общий кластер). Поэтому BSOD показывал ошибку (...0xC000017D...) - "не хватает места на диске".
    Теперь система загружается и все спокойно (повреждены фаервол, DrWeb и daemon как минимум), произвел сканирование AVZ и HJ.
    Но удаленный winupgro.exe при перезагрузке, естественно, появляется в
    C:\Documents and Settings\Egor\Application Data\drivers\winupgro.exe

    Какие дальнейшие действия по поиску вируса?
    Вложения Вложения
    Последний раз редактировалось Egorrr; 14.08.2010 в 01:35.

  18. #17
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  19. #18
    Junior Member Репутация
    Регистрация
    13.08.2010
    Сообщений
    14
    Вес репутации
    50
    При запуске combofix сделал окошко с пустой ошибкой "Ошибка OK", комп перегрузился и сканер попросил скачать (включить) восстановление системы. Я отказался.
    При сканировании, некий процесс PEV.cfxxe выдал - "обнаружена ошибка. Приложение будет закрыто. Приносим извинения за неудобства."
    Извинения за "неудобства" не приняты.

    После работы combofix начал работать брандмауэр Windows, который очень давно был отключен o.O
    Вложения Вложения
    Последний раз редактировалось Egorrr; 14.08.2010 в 01:27.

  20. #19
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Пофиксите в HiJack, если найдется
    Код:
    O4 - HKCU\..\Run: [mule_st_key] C:\Documents and Settings\Egor\Application Data\m\flec006.exe
    Брандмауэр отключите. Файрволл, если не работает, придется переустановить

    Удалите ComboFix

    Больше плохого не видно

    Установите Internet Explorer 8 (даже если им не пользуетесь)
    Обновите JavaRE
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  21. #20
    Junior Member Репутация
    Регистрация
    13.08.2010
    Сообщений
    14
    Вес репутации
    50
    Спасибо, проблема решена

  • Уважаемый(ая) Egorrr, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Вирус изменяет EXE и DLL файлы (заявка №62937)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 1
      Последнее сообщение: 30.03.2011, 15:00
    2. Чистая винда мгновенно заражается.
      От delfin_ в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 01.03.2011, 02:39
    3. Svchost.exe изменяет другие приложения
      От Katherina в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.02.2009, 05:23
    4. Explorer.EXE изменяет настройки системы.
      От darell в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 17.01.2008, 17:33

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01417 seconds with 20 queries